数据隐私与第三方风险管理
魁北克第64号法案是2021年通过的一项法律,旨在更新该加拿大省份的《私营部门法案》并提升个人数据保护标准。 该法案的核心条款是第25号法律,其中包含规范个人信息收集、使用及传递的具体要求,并授权魁北克数据保护机构——魁北克信息获取委员会——执行相关规定,例如在将个人数据转移至省外前必须进行隐私影响评估。
加拿大当局于2022年9月和2023年分阶段实施了《第25号法律》的数据保护要求,并计划于2024年9月启动进一步的执法行动。
该法律适用于在魁北克省设立和/或开展业务的任何实体,若其收集、使用或披露该省境内个人的个人信息,将面临违规处罚:罚金范围从1000万加元或全球营业额的2%起,最高可达2500万加元或全球营业额的4%。
在魁北克开展业务的组织应评估其现有的第三方数据保护措施,以确定当前流程是否符合法律要求。
相关要求
-
规范魁北克省境内个人信息的收集、使用和披露
-
对个人信息转移至魁北克省以外地区实施强制性隐私影响评估(PIAs)
-
在所有外包合同中纳入强制性条款(例如涉及第三方)
魁北克第25号法律《TPRM要求》
下表总结了第25号法律中涉及第三方数据保护的部分条款,以及Prevalent第三方风险管理(TPRM)平台如何帮助满足这些要求。
注:本表所列信息为《第25号法律》要求的摘要,故不可视为全面的法律指导。请查阅法律全文并咨询贵机构的法律顾问,以确定最适合贵公司的行动方案。
| 选择魁北克法律25号法案要求 | 第三方风险管理最佳实践 |
|---|---|
| 自2022年9月22日起生效 | |
| 若发生涉及个人信息的保密事件:
a. 采取合理措施,降低对受影响个人的伤害风险,并防止类似事件再次发生。 b. 若事件存在造成严重伤害的风险,须通知委员会及受影响的个人。 c. 保存事故记录,并须应委员会要求提供副本。 |
应对、报告并减轻其影响 第三方供应商数据保护事件 通过集中管理供应商、开展事件评估、对识别风险进行评分、关联持续网络监控数据以及获取补救指导。您的第三方事件响应计划应具备以下核心能力:
|
| 建立相关机制,确保在发生涉及个人信息的保密事件时能够迅速作出恰当反应(例如制定事件响应计划和员工指导方针)。 | 建议围绕通用行业最佳实践框架构建事件响应机制,例如美国国家标准与技术研究院(NIST)发布的《计算机安全事件处理指南》(SP 800-61)。 |
| 盘点贵公司(或由第三方代为保管)持有的个人信息,并评估其敏感性。 | 首先构建一张关系图,以识别贵组织与第三方、第四方或第N方的关联,从而可视化信息流路径并确定高风险数据。 |
| 自2023年9月22日起生效 | |
| 在法律要求时进行隐私影响评估(PIA),例如在向魁北克省外披露个人信息之前。 | 进行内部 隐私影响评估(PIA) 针对风险最高的敏感隐私相关数据和业务流程。利用隐私影响评估(PIA)来评估潜在风险的来源、性质和严重程度,并为缓解已识别风险和确保符合隐私法规提供建议。
随后,通过专门的《第25号法律》调查评估供应商的数据隐私控制措施。该调查应旨在识别风险并将其映射至控制措施,从而清晰呈现潜在风险热点。 |
| 在达到收集目的后销毁个人信息,或在符合法律规定的条件和保留期限下将其匿名化,用于严肃且合法的目的。 | 自动化 离职流程 降低贵组织在合同签订后的风险暴露。寻求能够帮助您实现以下目标的解决方案:
|
| 由于个人信息清单处于动态更新中,及时更新至关重要,这既能反映公司内部可能发生的变更(例如为新项目收集个人信息),又能确保您充分规划行动并履行所有义务。 | 持续监控第三方数据泄露事件。识别被盗数据的类型和数量;合规与监管问题;以及供应商实时数据泄露通知。 |
| 评估该项目是否符合隐私法律。 | 通过将风险与应对措施映射至控制措施,获取合规百分比评级,并生成针对特定利益相关方的报告,以满足隐私法规要求。 |
| 实施策略和措施以规避这些风险或有效降低其影响。 | 基于既定阈值实现风险识别自动化,并通过工作流增强实践能力,将识别出的风险上报至相应利益相关方,以便立即进行审查和处置。
在数据隐私实践中发现控制缺陷时,应提出具体的补救措施,或愿意接受补偿性控制措施。 |
